自動(dòng)駕駛安全的關(guān)鍵標(biāo)準(zhǔn) SOTIF（ISO/PAS 21448）

SOTIF （ISO/PAS 21448） 的開發(fā)是為了解決自動(dòng)駕駛（和半自動(dòng)駕駛）汽車軟件開發(fā)人員面臨的新安全挑戰(zhàn)。這一點(diǎn)尤為重要，因?yàn)槿斯ぶ悄?（AI） 和機(jī)器學(xué)習(xí)在自動(dòng)駕駛汽車的開發(fā)中發(fā)揮著關(guān)鍵作用。

什么是 SOTIF （ISO/PAS 21448）？

SOTIF （ISO 21448） 適用于需要適當(dāng)?shù)膽B(tài)勢(shì)感知以確保安全的功能。該標(biāo)準(zhǔn)涉及在沒有故障的情況下保證預(yù)期功能 （SOTIF） 的安全性。這與傳統(tǒng)的功能安全形成鮮明對(duì)比，后者關(guān)注的是降低系統(tǒng)故障導(dǎo)致的風(fēng)險(xiǎn)。

該標(biāo)準(zhǔn)提供了有關(guān)設(shè)計(jì)、驗(yàn)證和確認(rèn)措施的指導(dǎo)。應(yīng)用這些措施有助于您在沒有故障的情況下實(shí)現(xiàn)安全。

以下是 SOTIF （ISO PAS 21448） 提供的一些示例：

• 設(shè)計(jì)測(cè)量示例：包括對(duì)傳感器性能的要求。

• 驗(yàn)證措施示例：包括場(chǎng)景覆蓋率高的測(cè)試用例。

• 驗(yàn)證度量示例：包括模擬。

使用靜態(tài)代碼分析工具 輕松應(yīng)用 SOTIF （ISO 21448）。

驗(yàn)證自動(dòng)化系統(tǒng)很困難。

自動(dòng)化系統(tǒng)擁有大量數(shù)據(jù)，這些數(shù)據(jù)被饋送到復(fù)雜的算法中。AI 和機(jī)器學(xué)習(xí)對(duì)于開發(fā)這些系統(tǒng)至關(guān)重要。

為了避免潛在的安全隱患，AI 需要做出決策。這包括需要態(tài)勢(shì)感知的場(chǎng)景。

使用 SOTIF （ISO 21448） 將是確保 AI 能夠做出決策和避免安全隱患的關(guān)鍵。

示例：SOTIF （ISO/PAS 21448） 分析適用情況

SOTIF （ISO 21448） 適用于在沒有系統(tǒng)故障的情況下發(fā)生的安全違規(guī)行為。

下面是一個(gè)態(tài)勢(shì)感知的例子。

路很結(jié)冰?；?AI 的系統(tǒng)可能無(wú)法理解情況并做出正確響應(yīng)。這會(huì)影響車輛安全運(yùn)行的能力。如果不感應(yīng)到結(jié)冰的路況，自動(dòng)駕駛汽車的行駛速度可能會(huì)超過(guò)該條件下的安全速度。滿足 SOTIF （ISO 21448） 意味著考慮到這種情況并根據(jù)概率做出決策。

SOTIF （ISO 21448） 的目標(biāo)是減少潛在的未知、不安全情況。但是，該定義非常廣泛。而且很難證明您已經(jīng)考慮了所有潛在的邊緣情況。

ISO 26262 涵蓋了系統(tǒng)故障時(shí)的功能安全。它不包括沒有系統(tǒng)故障的安全隱患。這就是 SOTIF （ISO 21448） 的必要性。

事實(shí)上，SOTIF （ISO 21448） 最初打算成為 ISO 26262：第 14 部分。由于在沒有系統(tǒng)故障的情況下確保安全非常復(fù)雜，因此 SOTIF （ISO 21448） 現(xiàn)在已成為一項(xiàng)獨(dú)立標(biāo)準(zhǔn)。

ISO 26262 與 ISO 21448

ISO 26262 仍然適用于現(xiàn)有的、已建立的系統(tǒng)，例如動(dòng)態(tài)穩(wěn)定控制 （DSC） 系統(tǒng)或安全氣囊。對(duì)于這些系統(tǒng)，通過(guò)降低系統(tǒng)故障的風(fēng)險(xiǎn)來(lái)確保安全性。

SOTIF （ISO 21448） 適用于緊急干預(yù)系統(tǒng)和高級(jí)駕駛員輔助系統(tǒng)等系統(tǒng)。這些系統(tǒng)可能存在安全隱患，但不會(huì)發(fā)生系統(tǒng)故障。

因此，SOTIF （ISO 21448） 是對(duì) ISO 26262 的補(bǔ)充。

安全一直是汽車軟件開發(fā)的關(guān)鍵。確保功能安全對(duì)于自動(dòng)駕駛?cè)匀恢陵P(guān)重要。

以下是開發(fā)團(tuán)隊(duì)需要做的事情，以繼續(xù)生產(chǎn)安全的軟件。

1. 使用安全的開發(fā)流程

AI 和機(jī)器學(xué)習(xí)面臨的最大挑戰(zhàn)之一是安全性。網(wǎng)絡(luò)安全和 AI 需要考慮很多因素。本文介紹了正確設(shè)置安全和隱私權(quán)的基礎(chǔ)知識(shí)。

以下是關(guān)鍵安全開發(fā)流程的三個(gè)示例：

1. 良好的編程實(shí)踐和全面的測(cè)試工作對(duì)于消除安全漏洞至關(guān)重要。這可以通過(guò)使用安全編碼標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)。

2. 威脅建模和風(fēng)險(xiǎn)緩解是開發(fā)安全組件的關(guān)鍵。這可以通過(guò)進(jìn)行危害和風(fēng)險(xiǎn)分析來(lái)實(shí)現(xiàn)。

3. 對(duì)構(gòu)建/發(fā)布環(huán)境的控制是防止黑客入侵和保持構(gòu)建安全的關(guān)鍵。這可以通過(guò) CI/CD 環(huán)境中的訪問控制來(lái)實(shí)現(xiàn)。

2. 將自動(dòng)化應(yīng)用于設(shè)計(jì)、驗(yàn)證和確認(rèn)

人工智能。機(jī)器學(xué)習(xí)。自動(dòng)駕駛汽車。汽車軟件開發(fā)人員在努力生產(chǎn)安全軟件時(shí)需要擔(dān)心很多事情。

將自動(dòng)化應(yīng)用于設(shè)計(jì)、驗(yàn)證和確認(rèn)流程可以提高開發(fā)團(tuán)隊(duì)的效率。

SOTIF （ISO 21448） 給出了以下示例（前面列出）：

• 設(shè)計(jì)測(cè)量示例： 包括對(duì)傳感器性能的要求。

• 驗(yàn)證措施示例：包括場(chǎng)景覆蓋率高的測(cè)試用例。

• 驗(yàn)證度量示例： 包括模擬。

使用需求管理工具可以幫助您滿足傳感器性能的要求。這有助于汽車嵌入式軟件的設(shè)計(jì)更安全。

使用測(cè)試用例管理工具可以幫助您確保不同場(chǎng)景的高度覆蓋。這有助于軟件驗(yàn)證。

使用靜態(tài)分析工具可以幫助您模擬潛在的運(yùn)行時(shí)場(chǎng)景。這有助于軟件驗(yàn)證。

3. 符合功能安全標(biāo)準(zhǔn)

SOTIF （ISO 21448） 對(duì)于自動(dòng)駕駛的功能安全非常重要。但遵守既定的功能安全標(biāo)準(zhǔn)仍然很重要，尤其是 ISO 26262。

ISO 21448 仍需要遵循最佳實(shí)踐和基于 ISO 26262 的 ASIL 的建議，以確保自動(dòng)駕駛汽車的軟件安全。